Dans la mesure où le Vendeur traite des informations personnelles pour le compte du Client, le Vendeur doit :
a) traiter les informations personnelles au nom du client uniquement aux fins de l’exécution du présent contrat, conformément aux instructions documentées contenues dans le présent contrat ou reçues du client de temps à autre ;
b) ne pas publier ou divulguer de quelque manière que ce soit ou permettre la divulgation de toute information personnelle à un tiers, sauf si le client l’autorise expressément par écrit ;
c) compte tenu de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des informations personnelles et empêcher la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illégal aux informations personnelles. En particulier, le vendeur doit prendre en considération et utiliser, le cas échéant, les éléments suivants : la pseudonymisation et le cryptage des informations personnelles ; la capacité de garantir la confidentialité, l’intégrité et la disponibilité permanentes des informations personnelles ; la capacité de rétablir la disponibilité et l’accès aux informations personnelles en temps utile en cas d’incident physique ou technique ; et un processus permettant de tester, d’évaluer et de mesurer régulièrement l’efficacité de ces mesures pour garantir la sécurité du traitement ;
d) obtenir le consentement écrit préalable du Client avant de transférer les Données Personnelles à tout sous-traitant dans le cadre de la fourniture des Services, ces transferts devant être souscrits à des conditions contractuelles qui reflètent les termes de la présente Annexe en fournissant notamment des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité des Données Personnelles adapté ;
e) prendre des mesures raisonnables pour garantir la fiabilité de tout personnel ayant accès aux informations personnelles et s’assurer que ce personnel s’engage contractuellement à respecter des conditions strictes de confidentialité ;
f) veiller à ce que seuls les membres du personnel du vendeur qui doivent avoir accès aux renseignements personnels soient autorisés à accéder à ces données et uniquement aux fins de l’exécution du présent contrat ;
g) au choix du Client, supprimer ou restituer toutes les Informations Personnelles au Client après la fin de la fourniture des Services ou de l’utilisation de la Solution, et supprimer les copies existantes ;
h) mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans la présente Annexe et permettre et contribuer aux audits, y compris les inspections, menées par le Client ou nos représentants autorisés à cette fin ;
i) informer immédiatement le client en cas de violation des informations personnelles ;
j) informer le client rapidement (et dans tous les cas dans les 24 heures) s’il reçoit :
(i) une demande d’une personne concernée pour avoir accès aux informations personnelles de cette personne ; ou
(ii) une plainte ou une demande relative aux obligations du client en vertu de la législation applicable en matière de protection des données ; ou
(iii) toute autre communication concernant directement ou indirectement le traitement de toute information personnelle en rapport avec le présent accord ;
k) fournir au client une coopération et une assistance totales en ce qui concerne toute plainte ou demande relative à toute information personnelle, y compris par :
a. fournir au client tous les détails de la plainte ou de la demande ;
b. se conformer à une demande d’accès aux données dans les délais pertinents prévus par la législation applicable en matière de protection des données, mais en respectant strictement les instructions du client ;
c. fournir au client toute information personnelle qu’il détient en relation avec une personne concernée qui dépose une plainte ou une demande dans les délais requis par le client ; et
d. fournir au client toute information demandée par le client ;
l) permettre au client ou à ses conseillers externes (sous réserve d’engagements de confidentialité raisonnables et appropriés) d’inspecter et d’auditer les activités de traitement des données du vendeur et celles de ses agents, filiales et sous-traitants et de se conformer à toutes les demandes ou instructions raisonnables du client afin de permettre à ce dernier de vérifier et de s’assurer que le vendeur respecte pleinement ses obligations en vertu du présent contrat ; et
m) ne pas transférer les informations personnelles en dehors de l’Espace économique européen sans le consentement écrit préalable du client et, lorsque le client consent à un tel transfert, se conformer à :
a. les obligations découlant de la législation applicable en matière de protection des données en fournissant un niveau de protection adéquat à toute information personnelle transférée ; et
b. toute instruction raisonnable qui lui est notifiée par le Client.